扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年12月2日
关键字: VoIP
起源于IP的开放性,在获得廉价资费的同时,VOIP
VOIP网络的漏洞很容易被不法的骇客所利用,例如,曾经有骇客非法地利用系统漏洞在Internet和PSTN网络之间免费路由了上千万分钟的呼叫,并且作为非法业务向用户低价出售。这样的技术只需用到一个改进的IP-PBX去伪装企业PBX就可以实现。
正如很多专家所坚持的,VOIP安全性在技术方面需要很多提升,否则,在未来的全IP业务体系下,这样的安全性隐患会被扩展,甚至波及诸如移动通信网络等。例如,先前所提及的垃圾邮件、垃圾广告等入侵行为,则有可能在WLAN热点区域,借助免费VOIP应用入侵移动终端。
Juniper Network亚太地区的解决方案和市场部门负责人Andrew Ma表示,另一个很严重的问题是,在很多情况下用户都无法发现他们正在被攻击,这样对于防御措施要求则更加的苛刻。例如,有种名为VOMIT(Voice over misconfigured Internet telephones)在Unix下运行的工具,能够捕获VOIP数据包,并且能够在计算机上将其还原成音频文件。这样,在公众热点承载的VOIP业务就及其容易受到窃听,因为骇客可以窃取到相关的数据包,并且用VOMIT工具还原声音文件。Andrew表示,应对这样的攻击的方法是对VOIP业务进行端到端加密,从而保证数据包不能被非法还原。
VOIP另一个日益增长的安全性问题来源于对SIP协议日益广泛的使用。SIP协议是类似于HTTP的基于文本的协议,用于管理基于IP网络的会话事务。这种基于文本的协议使得骇客们更加容易窃取,从而控制网络的信令过程。同时,VOIP网络通常都是复用信道,这样更加地容易被窃取。因此,需要防火墙和IDP等组建能够对于VOIP协议有更多的特定效力,从而有效地保护这个服务。
支持VOIP能够加剧IP网络不安全隐患观点的还有阿尔卡特-朗讯亚太地区安全业务主管Keith White,他认为,安全性问题是阻碍VOIP发展的主要问题之一,许多公司和组织都因为这样的顾虑而对其保守地观望,如果解决了这个问题,VOIP市场将会得到一个质的飞跃。这也是他们所希望改善的,然而,VOIP安全性最大的挑战是如何让企业和服务提供商明确分组IP网络固有的特点和传统电路交换网络有所区别,而IP网络由于其尽力而为的设计哲学导致自身就有许多安全性缺陷。
White表示,他相信VOIP服务提供商应该也能够提供可信的VOIP服务。谈及安全性问题的时候,他将VOIP服务提供商分为两类,一类是利用现有Internet基础设施提供VOIP服务的虚拟运营商,例如Skype、Net2Phone、Vonage等,并且将其称为"寄生运营商"。而另一类则是基于自己的基础设施提供VOIP服务的提供商。他表示,这两类服务提供商有着明显的区别,前者是互联网的用户自发架设的端到端应用,具有很低的服务质量
因此,White坚信VOIP用户自己应该实施一些安全措施,在他们的终端进行安全性保证。安全性策略应该被越来越多地部署到网络软件中,但是用户自身对于安全性的管控需求也在日益增加。
Verizon Business亚太地区市场部主管Darren Day表示,VOIP网络安全性方面设计最大的挑战是在设计的初期就前摄地进行安全性考虑。当前的许多商用VOIP网络对于安全性的部署都是在事发之后,对于每个成功的VOIP部署,都需要一定的时间去了解企业对于安全性的特定需求,而后才能作出准确的回应。例如,VOIP的部署中应该考虑使用VPN技术来提供可靠的准入策略,从而拒绝来源不明的业务请求接入其IP-PBX。
Juniper Netowrk的Ma也提出了他们的解决方案,鉴于目前许多部署VOIP网络的运营商和服务提供商都使用了MPLS和VLAN等虚拟技术,可以利用其区分VOIP网络流量和其他流量,从而使得未被鉴权的终端将比较难以接入VOIP设备。他同时还建议说利用边界会话控制器(session border controller)来进行拓扑和IP隐藏,并且通过部署呼叫准入控制机制来防控DOS攻击。
阿尔卡特-朗讯的White则认为,VOIP仅仅是不可信IP网络的一个应用,因此安全策略应该同时针对VOIP应用和底层IP网络本身。他相信目前的大多VOIP商用网络都是在没有可靠安全措施部署情况下运行的,而目前所需要做的,是对于网络(路由器)和终端(主机)都进行全面的核查,从而在应用层和IP层都同时增补相应的安全策略。
由于VOIP网络的安全性问题日益突出,各大服务提供商都开始运作对其风险评估的相关服务。例如,Verizon Business就声称他们拥有300个安全专家来提供他们的风险评定服务。这项服务致力于识别和发现潜在的安全性隐患,涉及各种厂商VOIP和IP PBX系统的软件和硬件。所涉及的安全性隐患包括业务丢失、网络欺诈、DOS攻击、病毒和VOIP垃圾邮件等。其发言人声称,这项服务目前已经在美国和英国开始运营,而在全球其他地区可以被部分地获得。
同样提供类似安全性评估服务的还有阿尔卡特-朗讯,他们的发言人White表示,他们公司相关的工具和方法已经可以被提供来确保网络的安全性,并且可以提供专业级别的VOIP服务。贝尔实验室新近研制的72点网络安全体系模型就是其中的一个例子,其已经被ITU采纳为x.805标准。最近这项技术还被ISO接受为ISO-18028标准。
安全联盟
当前,全球最大的关于VOIP安全性的联盟组织是网络电话安全联盟(VOIPSA),这个组织是2005年由各大VOIP厂商、运营商和研究机构所发起的,其目标是通过讨论组、白皮书、VOIP研究项目支助、安全性工具开发等方式来使得用户了解并且避免VOIP安全方面的风险。
VOIPSA的首个项目是VOIP安全威胁分类,用来定义来自VOIP部署、业务和终端用户等方面各种潜在的威胁。这个项目将会在第一时间解决VOIP安全性方面的需求问题。而这个联盟的后续项目将会基于此进行各种开发和实现,逐一解决问题。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。